Dokumen tersebut membahas mekanisme pertahanan terhadap serangan DDoS melalui siklus pertahanan yang terdiri dari prevention, monitoring and detection, serta mitigation. Prevention meliputi over provisioning, modifikasi algoritma scheduling, serta resource accounting dan QoS. Monitoring and detection menggunakan signature-based detection dan behaviour-based detection. Mitigation tactics mencakup rate limiting dan filtering, sedangkan mitigation strategy terdiri dari collaborative dan non-collaborative approach seperti redirecting.
3. Prevention
Mencoba untuk mengeliminasi kemungkinan serangan
DDoS
Memungkinkan untuk bertahan dari serangan tanpa
menghentikan layanan terhadap klien yang sah
Mengurangi dampak serangan DDoS
4. Prevention: Over Provisioning
Menyediakan resource berlebih untuk mengatasi jumlah traffic di atas
normal
Not sustainable
2009 → 49 Gbps (ARBOR Network report)
2013 → 300 Gbps (CloudFlare report 2014);
Serangan DDoS rata-rata berukuran 1.5 Gbps (2012) hingga 3.5
Gbps (2013)
5. Prevention: Modifikasi Algoritma Scheduling
Tujuan: Lebih memilih legitimate traffic ketimbang malicious traffic
How? DDoS resilient scheduler dan suspicion assignment
mechanism [1, 2]
Hasil pengujian:
Suspicion-aware policies → response time 0.1 s
Suspicion-agnostic policies → response time 10 s
[1] Shameli-Sendi A, Dagenais M. ARITO: cyber-attack response system using accurate risk impact
tolerance. Int J Inf Secur 2013. , http://dx.doi.org/10.1007/s10207-013-0222-9.
6. Prevention: Resource Accounting dan QoS
Mencatat penggunaan resource
Contoh: bandwidth, process time
Melakukan monitoring penggunaan resource
Pengamanan resource dengan mekanisme QoS:
Traffic shaping
Congestion avoidance
Traffic class priorities
8. Monitoring and Detection : Signature-based
Pada teknik ini, traffic yang masuk di bandingkan dengan pola serangan
yang sudah di defenisikan / di dapatkan sebelumnya.
Tenkik ini berguna untuk mendeteksi komunikasi antara penyerang dan
zombie nya.
Namun teknik ini tidak efektif jika komunikasi antar penyerang dan zombie
nya ter enkripsi.
9. Monitoring and Detection : Behaviour-based
Behaviour-based menentukan bahwa perilaku traffic berjalan normal.
Penentuan perilaku dapat dibandingkan pola traffic DDOS.
Perilaku normal didapatkan berdasarkan :
Uplink & Downlink seharusnya proporsional
Statistic on connection characteristic, digunakan untuk menentukan perilaku
tidak yang tidak normal
Memonitor traffic dan menggunakan machine learning untuk melakukan
klasifikasi normal dan abnormal behaviour
11. Mitigation Tactics
Rate Limiting
Flow rate-limiting : melakukan pembatasan traffic setiap individu client
Aggregate rate-limiting : melakukan pembatasan berdasarkan
sumber/tujuan aplikasi atau alamat, protokol, ataupun kriteria lain.
12. Mitigation Tactics
Filtering
Address-based filtering
filter berdasarkan Source IP Address, Source Port, Destination IP Address, Destination Port,
Protocol, MAC Address
Quick, simple & effective
Signature-based filtering :
filter berdasarkan signature yang telah didapatkan / di tentukan sebelumnya. Traffic di
analisa untuk mendeteksi pola yang cocok dengan singature dari sebuah DDoS attack.
Behavior-based filtering
13. Mitigation Strategy
Collaborative
Firewall Cooperative Defense
Menempatkan beberapa firewall dan bekerjasama untuk mengentikan serangan DDOS dari
node terdekat
Pushback Cooperative Defense
Kolaborasi antar router, saling bertukar informasi mengenai malicious traffic (pushback)
Blackholing Cooperative Defense
Dikenal juga sebagai blackhole filtering, yaitu melakukan drop paket di level router.
14. Mitigation Strategy
Non-Collaborative-Dynamic strategy
Redirecting & shunting
Pada teknik ini traffic di arahkan ke interface lain. Malicious traffic
tersebut di arahkan ke scrubbing centers. Beberapa solusi komersial
yang berbasis teknik ini adalah :
Riverhead Guard
Cisco Guard
15. Mitigation Strategy
Reconfiguration
Teknik reconfiguration ini mengubah topologi atau mengubah
mekanisme pertahanan korban untuk mencegah serangan DDoS.
Beberapa kategori reconfiguration :
Service Reconfiguration
Network Reconfiguration
Defense Reconfiguration
16. “There’s no 100% way of protecting
yourself against a DDoS attack”
-- David Jacoby, Global Research and Analysis Team at Kaspersky